本文說明如何啟用及使用資料安全防護機制管理 (DSPM)。
啟用 DSPM
您可以在啟用 Security Command Center 時或之後啟用 DSPM。
如要在機構層級啟用 DSPM,請完成下列步驟:
-
如要取得啟用 DSPM 所需的權限,請要求管理員在貴機構中授予下列 IAM 角色:
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
- 使用下列任一方法啟用 DSPM:
情境 操作說明 您尚未啟用 Security Command Center,或目前使用 Security Command Center Standard 級別,但想改用 Security Command Center Premium 級別。 如要啟用 DSPM,請為機構啟用 Security Command Center Premium。 您尚未啟用 Security Command Center,但想使用 Security Command Center Enterprise 方案。 如要啟用 DSPM,請啟用 Security Command Center Enterprise。 您先前已啟用 Security Command Center Premium 級,現在想啟用 DSPM。 使用「設定」頁面啟用 DSPM。 您先前已啟用 Security Command Center Enterprise 方案,現在想啟用 DSPM。 使用「啟用 DSPM」頁面啟用 DSPM。 如要進一步瞭解 Security Command Center 方案,請參閱「Security Command Center 服務方案」。
- 啟用探索功能,找出要透過 DSPM 保護的資源。
啟用 DSPM 後,系統也會啟用下列服務:
- 法規遵循管理員 建立、套用及管理資料安全架構和雲端控制項。
- Sensitive Data Protection 使用資料私密性信號進行預設資料風險評估。
- 在機構層級使用 Event Threat Detection (Security Command Center 的一部分),即可使用資料存取權管理雲端控管機制和資料流程管理雲端控管機制。
- AI Protection 可協助確保 AI 工作負載生命週期安全無虞 (僅限 Security Command Center Enterprise 級別)。
系統會自動將資料安全與隱私權基本架構套用至機構。
啟用 DSPM 時,系統會建立 DSPM 服務代理 (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com)。
如要瞭解 DSPM Identity and Access Management 角色,請參閱「機構層級啟用的 Identity and Access Management」。
DSPM 支援 VPC Service Controls 範圍
在包含 VPC Service Controls 範圍的機構中啟用 DSPM 時,請注意下列事項:
您無法使用安全防護範圍保護 DSPM 資源,因為所有資源都位於機構層級。如要管理 DSPM 權限,請使用 IAM。
由於 DSPM 是在機構層級啟用,因此無法偵測服務範圍內的資料風險和違規事項。如要允許存取,請完成下列步驟:
確認您在機構層級具備設定 VPC Service Controls 的必要角色。
設定下列輸入規則:
- ingressFrom: identities: - serviceAccount: DSPM_SA_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: "*" resources: "*"將 DSPM_SA_EMAIL_ADDRESS 替換為 DSPM 服務代理的電子郵件地址 (
service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com)。啟用 DSPM 時,系統會授予服務代理必要的 IAM 角色,並決定服務代理可執行的作業。
如要進一步瞭解輸入規則,請參閱「設定輸入和輸出政策」。
使用 DSPM 資訊主頁
完成下列動作,即可使用資訊主頁分析資料安全性狀態。
-
如要取得使用 DSPM 資訊主頁所需的權限,請要求管理員在貴機構中授予您下列 IAM 角色:
-
Data Security Posture Management 管理員 (
roles/dspm.admin) -
安全中心管理員 (
roles/securitycenter.admin) -
如要取得唯讀存取權:
-
資料安全防護機制管理資源檢視者 (
roles/dspm.viewer) -
安全中心管理員檢視者 (
roles/securitycenter.adminViewer)
-
資料安全防護機制管理資源檢視者 (
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
-
Data Security Posture Management 管理員 (
- 使用 DSPM 資訊主頁探索資料並分析風險。啟用 DSPM 後,您就能立即評估環境是否符合資料安全和隱私權基本架構。
在控制台中,按一下「資料安全與法規遵循」下方的「資料保護」分頁標籤。
你可以查看的資訊如下:
- 資料地圖探索工具
- 資料安全性發現項目
- 深入瞭解已套用的資料安全控管措施和架構
您可以根據這些資訊檢查並修正結果,讓環境更符合安全性與法規遵循要求。
從機構層級查看資訊主頁時,如果您在已設定應用程式管理功能的資料夾中部署應用程式,可以選取應用程式來篩選資訊主頁,只顯示適用於該應用程式的發現和洞察資料。查看資料時,請考量下列掃描延遲時間:
- 頂端的發現項目面板可能顯示過時的資源設定資料。舉例來說,發現事項的主要資源可能與過時的應用程式相關聯。
- 應用程式選取器可能不會顯示過去 24 小時內建立的應用程式和資源註冊。
啟用 Security Command Center 後,資料地圖探索器可能需要 24 小時,才能從 Security Command Center 和 Cloud Asset Inventory 填入所有資料。
建立自訂資料安全架構
如有需要,請複製資料安全與隱私權基本架構,並根據您的資料安全與法規遵循需求進行自訂。如需操作說明,請參閱「套用架構」。
部署進階資料安全雲端控管措施
視需要將進階資料安全雲端控制項新增至自訂架構。您必須先完成額外設定,才能部署這些控制項。如需部署雲端控管機制和架構的操作說明,請參閱「套用架構」。
您可以將包含進階資料安全雲端控制項的架構,部署至已設定應用程式管理的資料夾中的機構、資料夾、專案和 App Hub 應用程式。如要針對應用程式部署進階資料安全雲端控制項,架構只能包含這些控制項。您必須選取已啟用應用程式管理功能的資料夾,以及要讓雲端控制項監控的應用程式。系統不支援主專案或單一專案界線中的應用程式。
請考量下列事項:
請查看各項進階資料安全雲端控制項的資訊,瞭解相關限制。
請按照下表說明,完成每項規則的相關工作。
規則 額外設定 資料存取權管理雲端控管機制 - 為 Cloud Storage 和 Vertex AI (適用於您的環境) 啟用資料存取稽核記錄。
將資料存取權限類型設為
DATA_READ。視套用「資料存取權管理」雲端控管機制的層級而定,在機構或專案層級啟用資料存取記錄。確認只有授權主體可豁免於稽核記錄。豁免稽核記錄的主體也會豁免 DSPM。
- 使用下列其中一種格式,新增一或多個允許的主體 (最多 200 個主體):
- 使用者:
principal://goog/subject/USER_EMAIL_ADDRESS範例:
principal://goog/subject/alex@example.com - 如果是群組,請按照下列步驟操作:
principalSet://goog/group/GROUP_EMAIL_ADDRESS範例:
principalSet://goog/group/my-group@example.com
- 使用者:
資料流治理雲端控管機制 為 Cloud Storage 和 Vertex AI 啟用資料存取稽核記錄(適用於您環境中的情況)。
將資料存取權限類型設為
DATA_READ。視套用「資料存取權管理」雲端控管機制的層級而定,在機構或專案層級啟用資料存取記錄。確認只有授權主體可豁免於稽核記錄。豁免稽核記錄的主體也會豁免 DSPM。
- 使用 Unicode 通用區域資料庫 (CLDR) 中定義的國家/地區代碼,指定允許的國家/地區。
資料保護和金鑰管理雲端控制 在 BigQuery 和 Vertex AI 中啟用 CMEK。 資料刪除雲端控制項 設定保留期限。舉例來說,如要將保留期限設為 90 天 (以秒為單位),請將保留期限設為 777600。- 為 Cloud Storage 和 Vertex AI (適用於您的環境) 啟用資料存取稽核記錄。
後續步驟
- 查看資料安全性相關發現項目。